Je kunt als organisatie dus nog zoveel inzetten op de security, als het bij medewerkers schort aan bewustzijn dan is het een verloren zaak.

We leven in een wereld waarin techniek een ontzettend belangrijke rol speelt. Iedere dag worden nieuwe technologieën geïntroduceerd en er bestaat meer data dan ooit tevoren. Dit leidt tot grote onoverzichtelijkheid. Welke informatie staat op welk apparaat? En welke medewerker heeft hier toegang tot? Dat medewerkers met steeds meer apparaten werken brengt daarnaast de nodige security uitdagingen met zich mee: van phishing tot social engineering, spam, en ga zo maar door. Het is ontzettend belangrijk dat medewerkers zich hier bewust van zijn.

Security is van iedereen
Zowel in ons privé- als in ons werkleven zijn we met de komst van allerlei nieuwe technologieën gewend aan een stuk vrijheid. We schakelen eenvoudig tussen smartphones, laptops en tablets. IT-beheerders daarentegen, moeten voldoen aan steeds strengere security eisen. Omdat technologie over het algemeen een kindje van de IT-afdeling is, schuiven veel medewerkers het op peil houden van de security ook die kant op. Uit het oog, uit het hart, toch? Dat de verantwoordelijkheid echter bij iedere medewerker moet liggen, blijkt wel uit onderzoek van de Autoriteit Persoonsgegevens: het zijn de eigen medewerkers die het merendeel van de datalekken op hun geweten hebben. Vaak zijn ze zich hier niet eens bewust van. Hoog tijd om daar wat aan te veranderen.

In vijf stappen naar security awareness
Je kunt als organisatie dus nog zoveel inzetten op de security, als het bij medewerkers schort aan bewustzijn dan is het een verloren zaak. Gelukkig zijn er een aantal stappen te nemen om het security awareness niveau van medewerkers op te schroeven:

  1. Inventarisatie
    De eerste stap draait om het in kaart brengen van de huidige stand van zaken. Op welk niveau bevindt het bewustzijn van medewerkers zich op dit moment? Gaan medewerkers bewust om met digitale middelen of is hier ruimte voor de nodige verbetering? Het vaststellen van het awareness niveau kan onder andere door een online meting uit te voeren. Voer echter ook wat praktische experimentjes uit. Laat iemand van buiten de organisatie bijvoorbeeld contact opnemen met een nietsvermoedende medewerker en kom te weten hoe eenvoudig deze persoon vertrouwelijke informatie kan winnen.
  2. Strategie
    Het vaststellen van de huidige stand van zaken, geeft vervolgens de mogelijkheid een strategie op te stellen om het bewustzijn te verbeteren. Waar moet het gemiddelde niveau van security awareness liggen en waar ligt het nu? Bepaal welke activiteiten nodig zijn om de doelstelling te behalen en zo de organisatie optimaal te beveiligen.
  3. Leermodule
    Vervolgens is het aan de medewerkers om aan de slag te gaan met het verhogen van hun bewustzijn. Door de activiteiten om te zetten in behapbare online leermodules kunnen zij hier eenvoudig mee op weg. Belangrijk is echter dat medewerkers inzien dat security awareness onderdeel moet zijn van hun vaste werk. Het management kan hier aan bijdragen door te hameren op de waarde van security awareness en het als het ware de tweede natuur van medewerkers te maken.
  4. Evaluatie
    Nu is het tijd om evalueren wat de leermodules hebben opgeleverd. Is de doelstelling bereikt en het bewustzijn daadwerkelijk verhoogd? Voer wederom een online meting uit, maar vergeet ook niet testen in de praktijk. Mocht het nodig blijken, dan kun je leermodules waar nodig aanpassen of bijschaven. Zorg daarnaast voor bijscholing voor medewerkers die het nodig hebben.
  5. Herhaling
    Tot slot is het belangrijk niet in de volgende valkuil te vallen: de meting is uitgevoerd, medewerkers zijn bijgeschoold, nu zijn we klaar. Dit zien we in de praktijk nog te vaak gebeuren bij organisaties. Dit traject moet echter niet als een eenmalig iets gezien worden. Security is constant aan verandering onderhevig en er zullen altijd nieuwe dreigingen de kop op steken. Blijf de leermodules updaten en zorg dat medewerkers met de juiste kennis rondlopen.

Toine van Eijk
Directeur Ictivity Training